Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 Amazon Virtual Private Cloud 上启动 vSRX 虚拟防火墙实例

以下过程介绍如何在 Amazon Virtual Private Cloud (Amazon VPC) 中启动和配置 vSRX 虚拟防火墙实例:

第 1 步:创建 SSH 密钥对

要远程访问 AWS 上的 vSRX 虚拟防火墙实例,需要 SSH 密钥对。您可以在 Amazon EC2 控制面板中创建新的密钥对,也可以导入由其他工具创建的密钥对。

要创建 SSH 密钥对,请执行以下操作:

  1. 登录 AWS 管理控制台并选择 Services > Compute > EC2
  2. 在 Amazon EC2 控制面板中,选择左窗格中的密钥 。验证工具栏中显示的区域名称是否与您创建 Amazon Virtual Private Cloud (Amazon VPC) 的区域相同。
    图 1:验证区域 Verify Region
  3. 单击 “创建密钥对”,指定密钥对名称,然后单击 “创建”
  4. 私钥文件 (.pem) 会自动下载到您的计算机。将下载的私钥文件移动到安全位置。

  5. 要使用 Mac 或 Linux 计算机上的 SSH 客户端连接到 vSRX 虚拟防火墙实例,请使用以下命令设置私钥文件的权限,以便只有您可以读取它:

  6. 要从 shell 提示符访问 vSRX 虚拟防火墙实例,请使用命令ssh -i <full path to your keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>。如果密钥文件位于当前目录中,则可以使用文件名而不是完整路径作为 ssh -i <keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>
注意:

或者,使用 导入密钥对 导入使用第三方工具生成的不同密钥对。

有关键轮换的更多信息,请参阅 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

步骤 2:启动 vSRX 虚拟防火墙实例

表 1 列出了 vSRX 虚拟防火墙支持的 AWS 实例类型。

vSRX 虚拟防火墙不支持 M 和 C3 实例类型。如果已使用这些实例类型中的任何一种来调整 vSRX 虚拟防火墙,则必须将实例类型更改为 C4 或 C5 实例类型。

表 1:vSRX 虚拟防火墙支持的 AWS 实例类型

实例类型

vSRX 虚拟防火墙类型

vCPU

内存 (GB)

RSS 类型

c5.large

vSRX 虚拟防火墙-2CPU-3G 内存

2

4

硬件 RSS

c5.xlarge

vSRX 虚拟防火墙-4CPU-7G 内存

4

8

硬件 RSS

c5.2xlarge

vSRX 虚拟防火墙-8CPU-15G 内存

8

16

硬件 RSS

c5.4xlarge

vSRX 虚拟防火墙-16CPU-31G 内存

16

32

SW RSS

c5.9xlarge

vSRX 虚拟防火墙-36CPU-69G 内存

36

72

SW RSS

c5n.2xlarge

vSRX 虚拟防火墙-8CPU-20G 内存

8

21

硬件 RSS

c5n.4xlarge

vSRX 虚拟防火墙-16CPU-41G 内存

16

42

硬件 RSS

c5n.9xlarge

vSRX 虚拟防火墙-36CPU-93G 内存

36

96

硬件 RSS

AWS 上的 vSRX 虚拟防火墙最多支持八个网络接口,但可以连接到 vSRX 虚拟防火墙实例的实际最大接口数取决于启动该实例的 AWS 实例类型。对于允许超过 8 个接口的 AWS 实例,vSRX 虚拟防火墙最多仅支持八个接口。

以下是支持的 C5 实例类型:

  • c5.large

  • c5.xlarge

  • c5.2xlarge

  • c5.4xlarge

  • c5.9xlarge

  • c5n.2xlarge

  • c5n.4xlarge

  • c5n.9xlarge

以下是受支持的基于 AMD 的 AWS 实例:

  • C5a.16xlarge

  • C5a.8xlarge

  • C5a.4xlarge

  • C5a.2xlarge

  • C5a.xlarge

有关 vCPU、内存等实例详细信息的更多信息,请参阅 定价信息

有关按实例类型划分的最大网络接口数的更多信息,请参阅 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

最佳实践:

Instance Type Selection- 根据您对网络的需求更改,您可能会发现实例被过度利用(例如实例类型太小)或利用率不足(例如实例类型太大)。如果是这种情况,您可以更改实例的大小。例如,如果您的实例对于其工作负载来说太小,您可以将其更改为适合该工作负载的另一种实例类型。您可能还希望从上一代实例类型迁移到当前一代实例类型,以利用某些功能;例如,支持 IPv6。考虑更改实例以提高性能和吞吐量。

从 Junos OS 18.4R1 版开始,支持 c5.large vSRX 虚拟防火墙实例。这些具有成本效益并提供更好的性能和吞吐量。

要在 Amazon VPC 中启动 vSRX 虚拟防火墙实例,请执行以下操作:

  1. 登录 您的 AWS 账户。
  2. 导航到 Amazon Market Place >管理订阅,然后搜索vSRX 虚拟防火墙。
  3. 选择 vSRX 新一代防火墙
    此时将显示 vSRX 虚拟防火墙新一代防火墙 Amazon 机器映像页面。
  4. 单击启动新实例
  5. 选择要部署的交付方式、软件版本和区域。单击继续以通过 EC2 启动
  6. 选择支持的实例类型。有关详细信息,请参阅表 1
  7. 单击下一步:配置实例详细信息,然后指定表 2 中的字段。展开高级详细信息以查看所有设置。
    表 2:AWS 实例详细信息

    字段

    设置

    网络

    选择为 vSRX 虚拟防火墙配置的 Amazon VPC。

    子网

    选择 vSRX 虚拟防火墙管理接口 (fxp0) 的公共子网。

    自动分配公共 IP

    选择 禁用 (稍后将分配弹性 IP 地址)。

    放置组

    使用默认值。

    关机行为

    选择 停止 (默认)。

    • 启用终端保护

    • 监控

    使用您的 IT 策略。

    网络接口

    使用默认值或为 “主 IP” 字段分配公共 IP 地址。

    用户数据

    从 Junos OS 17.4R1 版开始,云 init 软件包(版本 0.7x)预安装在适用于 AWS 的 vSRX 虚拟防火墙映像中,以帮助简化根据指定用户数据文件配置在 AWS 上运行的新 vSRX 虚拟防火墙实例。

    在“配置实例详细信息”页面的“用户数据”部分中,选择“ 作为文件” 并附加用户数据文件。所选文件用于实例的初始启动。在初始启动过程中,vSRX 虚拟防火墙实例将处理 云初始化请求。有关如何创建用户数据文件的信息,请参阅 使用 Cloud-Init 在 AWS 中自动初始化 vSRX 实例

    注意:

    作为用户数据传递的 Junos OS 配置仅在初始启动时导入。如果实例已停止并重新启动,则不会再次导入用户数据文件。
  8. 单击下一步:添加存储,然后根据需要使用默认设置或更改卷类型和 IOPS。
  9. 单击下一步:标记实例,然后为 vSRX 虚拟防火墙实例指定名称。
  10. 单击下一步:配置安全性组,选择选择现有安全组,然后选择为 vSRX 虚拟防火墙管理接口 (fxp0) 创建的安全组。
  11. 单击“查看并启动”,查看 vSRX 虚拟防火墙实例的设置,然后单击“启动”
  12. 选择您创建的 SSH 密钥对,选中确认复选框,然后单击启动实例
  13. 单击查看实例以在 Amazon EC2 控制面板中显示实例列表。启动 vSRX 虚拟防火墙实例可能需要几分钟时间。
  14. 选择实例名称和 Amazon Machine Image (AMI)(对于 Junos - 选择可用的市场 Junos AMI)。
  15. 选择实例类型 (c5/c6..依此类推),并添加在步骤 1 中创建的密钥对。
  16. 在网络设置中,选择在上一步中创建的VPC。选择创建的公共子网(或您希望实例的管理接口在其中启动的子网)。如果需要,分配一个 IP(公共),或者可以在实例启动后,按照步骤 5 中所述将弹性 IP 附加到接口。创建安全组或附加在上一步中已创建的安全组。选择适当的入站和出站规则。
  17. 根据 您的要求配置存储和卷。
  18. 配置高级详细信息。选择创建的 IAM 配置文件,根据您的要求配置显示的选项。

    在 CPU 选项中 - 您可以使用 default,也可以在 #number of core(s) 中选择每个 CPU 内核的特定线程数。

  19. 配置用户数据。这可以是实例在从元数据服务器启动后可以立即访问的初始配置。

第 3 步:查看 AWS 系统日志

要调试启动时间错误,您可以查看 AWS 系统日志,如下所示:

  1. 在 Amazon EC2 控制面板中,选择 实例
  2. 选择vSRX 虚拟防火墙实例,然后选择操作>实例设置>获取系统日志

步骤 4:为 vSRX 虚拟防火墙添加网络接口

AWS 每个实例最多支持八个接口,具体取决于所选的 AWS 实例类型。对要添加到 vSRX 虚拟防火墙的每个收入接口(最多 7 个),请使用以下过程。第一个收入接口为 ge-0/0/0,第二个为 ge-0/0/1,依此类推(请参阅 AWS 上的 vSRX 要求)。

要添加 vSRX 虚拟防火墙收入接口,请执行以下操作:

  1. 在 Amazon EC2 控制面板中,选择左窗格中的 网络接口 ,然后单击 创建网络接口
  2. 指定接口设置,如 表 3 所示,然后单击 Yes, Create
    表 3:网络接口设置

    字段

    设置

    描述

    输入每个收入接口的接口说明。

    子网

    选择为第一个收入接口 (ge-0/0/0) 创建的公共子网或为所有其他收入接口创建的专用子网。

    私有 IP

    输入选定子网中的 IP 地址,或允许自动分配地址。

    安全性组

    选择为 vSRX 虚拟防火墙收入接口创建的安全组。
  3. 选择新接口,选择 操作>更改源/目的地。选中,选择 禁用,然后单击 保存
    图 2:禁用源/目的地检查 Disable Source/Dest. Check
  4. 选择新接口,选择 Attach,选择 vSRX 虚拟防火墙实例,然后单击 Attach
  5. 单击新接口名称列中的铅笔图标,并为接口命名(例如,ix-fxp0.0)。
注意:

对于专用收入接口(ge-0/0/1 到 ge-0/0/7),请记下您创建的网络名称或网络接口 ID。稍后,您需要将名称或接口 ID 添加到为专用子网创建的路由表中。

第 5 步:分配弹性 IP 地址

对于公有接口,AWS 会将公有 IP 地址进行 NAT 转换到私有 IP 地址。公共 IP 地址称为 弹性 IP 地址。建议为公共 vSRX 虚拟防火墙接口(fxp0 和 ge-0/0/0)分配弹性 IP 地址。请注意,重新启动 vSRX 虚拟防火墙实例时,弹性 IP 将保留,但公共子网 IP 将被释放。

要创建和分配弹性 IP,请执行以下操作:

  1. 在 Amazon EC2 控制面板中,在左窗格中选择 弹性 IP ,单击分配 新地址,然后单击 是,分配。(如果您的账户支持 EC2-Classic,则必须先从网络平台列表中选择 EC2-VPC
  2. 选择新的弹性 IP 地址,然后选择 操作>关联地址
  3. 指定 表 4 中的设置,然后单击 Allocate
    表 4:弹性 IP 设置

    字段

    设置

    网络接口

    选择 vSRX 虚拟防火墙管理接口 (fxp0) 或第一个收入接口 (ge-0/0/0)。

    私有 IP 地址

    输入要与弹性 IP 地址关联的私有 IP 地址。

步骤 6:将 vSRX 虚拟防火墙专用接口添加到路由表

对于为 vSRX 虚拟防火墙创建的每个专用收入接口,您必须将接口 ID 添加到为关联的专用子网创建的路由表中。

要将专用接口 ID 添加到路由表:

  1. 在 VPC 控制面板中,选择左窗格中的路由
  2. 选择您为私有子网创建的路由表。
  3. 选择路由表列表下方 的路由选项卡
  4. 单击 编辑 ,然后单击 添加另一条路由
  5. 指定 表 5 中的设置,然后单击 Save
    表 5:专用路由设置

    字段

    设置

    最终目标

    为互联网流量输入 0.0.0.0/0。

    目标

    键入关联专用子网的网络名称或网络接口 ID。网络接口必须位于“ 子网关联” 选项卡中显示的专用子网中。

    注意:

    不要选择互联网网关 (igw-nnnnnnnn)。

对每个专用网络接口重复此过程。您必须重新启动 vSRX 虚拟防火墙实例才能完成此配置。

步骤 7:重新启动 vSRX 虚拟防火墙实例

要合并接口更改并完成 Amazon EC2 配置,您必须重新启动 vSRX 虚拟防火墙实例。在 vSRX 虚拟防火墙实例运行时附加的接口在重新启动实例之前不会生效。

注意:

始终使用 AWS 重新启动 vSRX 虚拟防火墙实例。请勿使用 vSRX 虚拟防火墙 CLI 重新启动。

要重新启动 vSRX 虚拟防火墙实例:

  1. 在 Amazon EC2 控制面板中 ,选择左 窗格中的实例。
  2. 选择vSRX 虚拟防火墙实例,然后选择操作>实例状态>重启

重新启动 vSRX 虚拟防火墙实例可能需要几分钟时间。

步骤 8:登录 vSRX 虚拟防火墙实例

在 AWS 部署中,vSRX 虚拟防火墙实例默认提供以下功能来增强安全性:

  • 仅允许您通过 SSH 登录。

  • 云初始化用于设置 SSH 密钥登录。

  • root 帐户已禁用 SSH 密码登录。

在 Amazon 的 AWS 云基础设施上启动的 vSRX 虚拟防火墙实例使用 Amazon 提供的云初始化服务来复制与用于启动实例的账户关联的 SSH 公钥。然后,您将能够使用相应的私钥登录到实例。

注意:

默认情况下,使用 SSH 密码进行 root 登录处于禁用状态。

首次使用 SSH 客户端登录 vSRX 虚拟防火墙实例。要登录,请指定保存用户帐户的 SSH 密钥对 .pem 文件的位置,以及分配给 vSRX 虚拟防火墙管理接口 (fxp0) 的弹性 IP 地址。

注意:

从 Junos OS 17.4R1 版开始,默认用户名已从 root@ 更改为 ec2-user@
注意:

默认情况下,使用 Junos OS 密码进行 root 登录是禁用的。您可以在初始 Junos OS 设置阶段之后配置其他用户。

如果您没有密钥对文件名和弹性 IP 地址,请使用以下步骤查看 vSRX 虚拟防火墙实例的密钥对名称和弹性 IP:

  1. 在 Amazon EC2 控制面板中,选择 实例
  2. 选择 vSRX 虚拟防火墙实例,然后在描述选项卡中选择 eth0,以查看 fxp0 管理接口的弹性 IP 地址。
  3. 单击实例列表上方的 连接 以查看 SSH 密钥对文件名。

要配置 vSRX 虚拟防火墙实例的基本设置,请参阅 使用 CLI 配置 vSRX

注意:

vSRX 虚拟防火墙即用即付映像不需要任何单独的许可证。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
17.4R1
从 Junos OS 17.4R1 版开始,云 init 软件包(版本 0.7x)预安装在适用于 AWS 的 vSRX 虚拟防火墙映像中,以帮助简化根据指定用户数据文件配置在 AWS 上运行的新 vSRX 虚拟防火墙实例。